AI Act e modelli GPAI: dove siamo
Gli obblighi per i modelli di AI general purpose (GPAI) previsti dall’AI Act sono in vigore da agosto 2025. Otto mesi dopo, la maggior parte dei provider ha qualcosa. Quasi nessuno ce l’ha davvero.
L’Articolo 53 dell’AI Act impone requisiti chiari: documentazione tecnica, policy sull’uso accettabile, cooperazione con l’AI Office, rispetto del copyright. In pratica, il problema non è sapere cosa fare — è farlo in modo che regga a un’ispezione.
Il secondo draft del Code of Practice
A marzo 2026 la Commissione ha pubblicato il secondo draft del Code of Practice per il marking e labelling di contenuti generati da AI. La finalizzazione è prevista per giugno 2026.
Il Code of Practice copre tre aree:
- Trasparenza: come documentare e comunicare le caratteristiche del modello
- Copyright: come gestire i diritti d’autore nel training
- Sicurezza (per modelli con rischio sistemico): valutazione e mitigazione dei rischi
Non è vincolante per legge, ma aderire al Code of Practice offre una presunzione di conformità. Chi non aderisce deve dimostrare con altri mezzi di rispettare gli obblighi dell’AI Act.
Il nodo della documentazione tecnica
Il punto critico è la documentazione. Non è una dichiarazione PDF da firmare una volta. È un documento vivo che deve restare aggiornato ogni volta che il modello viene modificato.
I cicli di aggiornamento dei modelli AI sono mensili, a volte settimanali. La documentazione spesso è trimestrale, quando va bene. Un modello che cambia ogni mese con documentazione ferma a tre mesi fa è già fuori conformità.
Con il GDPR abbiamo vissuto la stessa storia: i Registri dei trattamenti esistevano, ma erano pieni di processi che non corrispondevano alla realtà operativa. La compliance AI Act rischia lo stesso pattern.
Le scadenze da non perdere
| Data | Evento |
|---|---|
| Giugno 2026 | Finalizzazione Code of Practice GPAI |
| Agosto 2026 | Entrano in vigore le regole per AI ad alto rischio (Annex III) e gli obblighi di trasparenza |
| Agosto 2026 | La Commissione potrà avviare azioni di enforcement: richieste di informazioni, accesso ai modelli, richiami |
Agosto 2026 è tra quattro mesi. Per chi sviluppa o distribuisce sistemi AI ad alto rischio, i requisiti includono: conformity assessment, documentazione tecnica secondo l’Annex IV, EU Declaration of Conformity, CE marking, registrazione nel database EU, piano di post-market monitoring.
AI Act e GDPR: come interagiscono
La sentenza del Tribunale di Roma su OpenAI (marzo 2026) ha ridimensionato l’approccio sanzionatorio del Garante Privacy verso l’AI generativa. Ma AI Act e GDPR restano complementari, non alternativi.
L’AI Act regola il sistema AI come prodotto. Il GDPR regola i dati personali che quel sistema tratta. Un’azienda che usa AI generativa con dati personali deve rispettare entrambi.
L’EDPB ha già annunciato nel Work Programme 2026-2027 linee guida congiunte sull’interplay tra AI Act e GDPR. Da monitorare.
Cosa fare adesso
Per i provider di modelli GPAI
- Documentazione tecnica: verificare che rifletta il modello attuale, non la versione di 3 mesi fa
- Code of Practice: seguire il secondo draft e prepararsi ad aderire alla versione finale (giugno 2026)
- Policy d’uso: definire chiaramente gli usi accettabili e comunicarli ai downstream deployers
- Copyright compliance: documentare le fonti di training e i meccanismi di opt-out
Per chi usa modelli GPAI di terzi in prodotto
- Verificare la compliance del provider: richiedere la documentazione tecnica e le policy d’uso
- Classificare il proprio sistema: capire se ricade nelle categorie ad alto rischio (Annex III)
- Prepararsi ad agosto 2026: se il sistema è ad alto rischio, avviare il conformity assessment ora
- DPIA: qualsiasi uso di AI con dati personali su larga scala richiede una valutazione d’impatto
Per tutte le aziende
La consulenza AI Act specializzata è il modo più efficiente per navigare l’interazione tra AI Act, GDPR e le normative settoriali (DORA per il settore finanziario, NIS2 per la cybersecurity). L’AI Act non è un adempimento isolato — si integra in un ecosistema regolatorio europeo sempre più denso.
Il mercato della compliance AI Act in Italia è ancora poco maturo. Chi si muove adesso ha un vantaggio competitivo reale.
Fonti: EU AI Office | Code of Practice Draft | EDPB Work Programme 2026-2027